A seguito di quattro diversi ricorsi di soggetti che lamentavano un trattamento dei loro dati privo del necessario consenso e della successiva richiesta che si sono visti avanzare da Clearview di inviare copia di un documento di identità personale per dare seguito alle istanze di accesso – istanze che hanno portato alla luce come la società americana disponesse nei propri database di immagini dei ricorrenti – nonostante le controdeduzioni presentate dalla stessa azienda, il Garante della Privacy italiano il 10 febbraio scorso si era pronunciato con un’ordinanza-ingiunzione con la quale, ribadendo la propria giurisdizione e lamentando carenze quanto alla base giuridica, al rispetto dei principi generali di liceità, correttezza, trasparenza del trattamento nonché di limitazione e conservazione dei dati ha disposto «un divieto del trattamento, consistente nel i) divieto di ulteriore raccolta, mediante tecniche di web scraping, di immagini e relativi metadati concernenti persone che si trovano nel territorio italiano; ii) divieto di ogni ulteriore operazione di trattamento dei dati, comuni e biometrici, elaborati dalla Società attraverso il suo sistema di riconoscimento facciale relativi a persone che si trovano nel territorio italiano» oltre ad un ordine generale di cancellazione dei sopramenzionati dati, ingiungendole di pagare la somma di 20 milioni di euro a titolo di sanzione pecuniaria ai sensi ai sensi dell’art. 83, par. 3, del Regolamento.
Il 9 marzo scorso il Garante ha pubblicato un comunicato stampa in cui ha dichiarato che Clearview sia in possesso di un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da fonti web pubbliche tramite web scraping. Tale database in precedenza era stato ritenuto illegittimo dalle Autorità svedese e tedesca.
A nulla è valsa la strategia difensiva dell’azienda statunitense secondo la quale «la tecnologia sottesa al servizio è finalizzata a migliorare la sicurezza pubblica, riducendo i tempi delle indagini e adiuvando le forze dell’ordine nell’identificazione dei criminali», una tecnologia recentemente utilizzata anche per il monitoraggio delle persone affette da Covid-19. Il Garante, nel motivare l’entità della sanzione, ha ritenuto che in primis si tratta di dati biometrici anche di soggetti minori, aggiungendo poi che si tratta di una vera e propria sorveglianza di massa a carattere non episodico, con una raccolta avvenuta “a strascico”, in aggiunta ad un alto grado di responsabilità del titolare «in quanto l’attività di trattamento illecito non solo è continuata nonostante l’intervento di numerose autorità di protezione dei dati personali (europee ed extra europee) – oltre che giurisdizionali, non ultimo il Regno Unito – ma anche perché ne viene fortemente rivendicata la legittimità attraverso la negazione della giurisdizione europea, e segnatamente italiana»; unica “circostanza attenuante” riconosciuta è la mancanza di precedenti violazioni.
